Pesquisadores da Palo Alto identificaram uma campanha massiva de spam malicioso (malspam) contendo boletos bancários falsos. Desde Junho de 2017, a Palo Alto identificou na campanha o boleto mestre cerca de 260 mil emails como o da imagem abaixo.

Exemplo de boleto falso utilizado na campanha O Boleto Mestre

Exemplo de boleto falso utilizado na campanha O Boleto Mestre

Assim como outras campanhas de malspam, a campanha “O Boleto Mestre” é desenhada para infectar computadores Windows com um Trojan de roubo de informações. Mas, o que torna essa campanha tão única?

Hosts de Windows infectados por essa campanha geram um tráfego IRC de texto. Todos os hosts entram no canal #MESTRE. Esse IRC é único nas campanhas de malspam no Brasil.

 

Características da Infecção

  • PowerShell, PSexec, e outros binários legítimos (arquivos .exe e .dll) utilizados por arquivos VBS.
  • Base64 encoded strings representando VBS salvo no registro do Windows.
  • Uma tarefa recorrente para que a infecção continue persistente.
  • Atividade de pós-infecção que inclui um texto claro em tráfego de IRC via porta TCP 443 para um domínio com o prefixo ssl. Hosts infectados entram no canal #MESTRE.

 

Qual a cadeia de eventos de uma infecção?

  1. A vítima clica em um link a partir de um email ou PDF anexado, que retorna um arquivo VBS.
  2. A vítima dá um clique duplo no arquivo VBS
  3. Isso faz com que mais arquivos sejam baixados para o Windows host infectado.
  4. Initial check-in traffic with www.petr4 ////// //// [.]in
  5. O host infectado inicia comunicação com o IRC para seu novo controlador.
Fluxograma como funciona o ataque O Boleto Mestre

Fluxograma como funciona o ataque da Campanha O Boleto Mestre

Conclusão

A combinação dessa campanha de valores de registro do Windows, arquivos VBS e binários legítimos provê uma técnica efetiva de evasão.

Mais informações em: https://researchcenter.paloaltonetworks.com/2017/12/unit42-master-channel-the-boleto-mestre-campaign-targets-brazil/